circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Autenticação baseada em Certificado para RDP

Você pode usar o SCEPman para emitir certificados Smart Card Login para seus usuários. Ao registrá-los no Windows Hello for Business (Microsoft Passport Key Storage Provider) eles podem usar esses certificados para autenticar-se em recursos locais usando seu PIN do Hello ou opções biométricas.

Isso permitirá, por exemplo, que os usuários se conectem a outros clientes por meio do Protocolo de Área de Trabalho Remota (RDP) usando suas credenciais do Windows Hello for Business.

hashtag
Configurar Active Directory

hashtag
Requisitos

  • O certificado da CA do SCEPman deve ser publicado no NTAuth repositório para autenticar usuários no Active Directory

  • Controladores de Domínio precisam ter um certificado de controlador de domínio para autenticar usuários com smartcard

  • Controladores de Domínio e máquinas de destino precisam confiar na CA Raiz do SCEPman

Siga nosso guia sobre certificados de Controlador de Domínio para publicar o certificado da CA Raiz do SCEPman no NTAuth repositório e emitir certificados para seus controladores de domínio:

Certificados de Controlador de Domíniochevron-right

Você pode criar um Objeto de Diretiva de Grupo para gerenciar a distribuição do certificado raiz às máquinas envolvidas: Para distribuir certificados aos computadores clientes usando Diretiva de Grupoarrow-up-right

O certificado precisa ser implantado em todos os Controladores de Domínio que lidam com as autenticações e em todas as máquinas de destino às quais os usuários desejam conectar-se usando este método.

triangle-exclamation

Esteja ciente de que, uma vez que o certificado raiz do SCEPman esteja publicado no repositório NTAuth, usuários que puderem influenciar o conteúdo dos certificados emitidos pelo SCEPman (por exemplo, administradores do Intune) poderão se passar por qualquer principal do Active Directory.

hashtag
Implantar os certificados Smart Card usando o Intune

hashtag
Perfil de Certificado Confiável

Seus clientes precisarão confiar no certificado raiz do SCEPmanarrow-up-right.

Se você já usa o SCEPman para implantar certificados nos seus clientes, já terá esse perfil em vigor.

hashtag
Certificado Smart Card

Crie um perfil para Windows 10 e posteriores com tipo Certificado SCEP no Microsoft Intune e configurar o perfil conforme descrito:

chevron-rightTipo de certificado: Usuáriohashtag

chevron-rightFormato do nome do sujeito: CN={{UserPrincipalName}}hashtag

Se o sufixo UPN dos usuários-alvo no Entra ID for diferente daquele usado no Active Directory, você deve usar CN={{OnPrem_Distinguished_Name}}

chevron-rightNome alternativo do assunto: valor UPN: {{UserPrincipalName}} e valor URI: {{OnPremisesSecurityIdentifier}}hashtag

A URI com o SID é necessária para ter um Mapeamento Forte de Certificado no AD. Alternativamente, você pode configurar o SCEPman para adicionar uma extensão com o SID aos certificados de usuário e não configurar a URI.

chevron-rightProvedor de armazenamento de chaves (KSP): Registrar no Windows Hello for Business, caso contrário falhar (Windows 10 e posteriores)hashtag

chevron-rightUso da chave: Assinatura digital e Ciframento de chavehashtag

chevron-rightTamanho da chave (bits): 2048hashtag

chevron-rightAlgoritmo de hash: SHA-2hashtag

chevron-rightCertificado Raiz: Perfil do passo anterior (Perfil de Certificado Confiável)hashtag

chevron-rightUso estendido da chave: Autenticação de Cliente e Smart Card Logemhashtag

Autenticação de cliente, 1.3.6.1.5.5.7.3.2

Smart Card Logon, 1.3.6.1.4.1.311.20.2.2

chevron-rightURLs do servidor SCEP: Abra o portal SCEPman e copie a URL de Intune MDMhashtag

hashtag
Use o Windows Hello for Business para conectar-se a hosts remotos

Com o certificado implantado no cliente autenticador, basta conectar-se ao host remoto e selecionar o provedor de credenciais do Windows Hello for Business configurado.

Last updated

Was this helpful?